La réforme des institutions européennes demeure un vaste débat... À titre personnel, je souhaiterais l'instauration d'une circonscription transnationale.

Monsieur Laurent, le seuil de 5 % des suffrages exprimés est celui retenu en France pour la plupart des scrutins proportionnels. Par ailleurs, je ne suis pas certain qu'il défavorise les petites formations politiques dans le cadre d'une circonscription électorale unique.

Enfin, monsieur Guerriau, la politique européenne en matière de défense comme de recherche ne sont pas du ressort de ce modeste projet de loi.

Suivant l'avis du rapporteur, la commission a adopté le rapport et le projet de loi précité.

La réunion est ouverte à 10 h 30.

Nous accueillons M. Pierre Razoux, directeur de recherche à l'Irsem pour une audition consacrée aux enjeux géostratégiques de la situation au Moyen-Orient, dans le cadre des travaux menés par notre commission sur cette région sensible. Je vous rappelle qu'une de nos missions d'information sera consacrée plus précisément à la Jordanie.

Depuis les attentats de 2015, puis les mouvements migratoires importants en provenance notamment de Syrie et d'Irak, les Français ont davantage conscience de la proximité du Moyen-Orient et des répercussions très concrètes de sa situation sur l'Europe.

En la matière, il est parfois difficile de ne pas se laisser gagner par une forme de pessimisme : le processus de paix israélo-arabe demeure au point mort avec un plan américain toujours repoussé ; l'échec occidental apparaît patent en Syrie, où la Russie est toujours plus présente, l'Iran en embuscade, la Turquie tentée par l'intervention et les Américains prochainement partis ; l'accord nucléaire iranien (JCPOA) est également fragilisé par le retrait américain ; l'effroyable guerre du Yémen semble encore loin d'une sortie de crise malgré des perspective plus encourageantes ; enfin, la fragilité de la situation en Égypte, en Jordanie, en Irak et, peut-être, en Arabie saoudite - les critiques adressées au Prince, le conflit avec le Qatar, la menace iranienne, le bourbier yéménite et les défis internes interrogent - est inquiétante.

L'état des forces en présence et les objectifs à moyen-long terme des acteurs majeurs - les États-Unis, la Russie, Israël, l'Iran, l'Arabie saoudite, la Turquie et, bien sûr, la Chine - jouent-ils en faveur de la stabilité, ou au contraire de l'embrasement de la poudrière ?

Le Moyen-Orient restera, j'en suis convaincu, une région cruciale pendant les quinze à vingt prochaines années. En effet, la route maritime industrielle et économique essentielle pour l'Asie, les États-Unis et l'Europe traverse l'océan Indien, la mer Rouge, la mer Méditerranée et l'Atlantique nord et, partant, les deux zones les plus crisogènes de la planète : la mer de Chine et l'arc arabo-musulman, compris entre le détroit de Gibraltar, le canal de Suez et le détroit d'Ormuz et auquel appartient le Moyen-Orient. Les puissances asiatiques, américaines et européennes ne cesseront donc pas de s'y intéresser avant longtemps. A ce titre, je ne crois pas du tout à un retrait américain de la région.

L'océan Indien, dans ce contexte, tient un rôle fondamental en ce qu'il borde les deux zones crisogènes précitées. Le Moyen-Orient, pour sa part, possède un intérêt essentiellement énergétique pour ses gisements et, surtout, ses pipelines. En matière économique, le contrôle des flux prime en effet sur le contrôle des territoires. Or, la Syrie et l'Irak se trouvent au coeur d'un réseau majeur d'oléoducs et de gazoducs. Les détroits de Bab el Mandeb, Gibraltar et de Sicile, ainsi que le Canal de Suez apparaissent quant à eux cruciaux en matière d'approvisionnement. Ils doivent absolument, pour cette raison, être protégés, d'autant, s'agissant du détroit de Bab el Mandeb et du canal de Suez, qu'ils sont également le lieu du passage de câbles sous-marins, qui assurent 90 % des communications télécom. Aussi, la Mer Rouge apparaît-elle convoitée à la fois par les grandes puissances et par les djihadistes, à l'instar de Daech ou d'Al-Qaïda, qui désirent perturber les échanges commerciaux comme les communications. Plus que celui du détroit d'Ormuz, qui concerne davantage les Asiatiques, le contrôle du détroit de Bab el Mandeb, paraît, pour des raisons politiques et de sécurité, crucial ; de nombreuses puissances - les Etats-Unis, la Russie, la Chine et certains pays européens notamment - y ont installé des bases. La Mer Rouge est devenue un espace de plus en plus convoité.

À mon sens, des risques de fragmentations de l'Arabie saoudite existent et les éléments que vous avez cités, monsieur le président, interrogent indubitablement. Si le pays venait à se recentrer sur ses territoires prioritaires, Daech pourrait s'emparer de zones secondaires et fragiliser ainsi l'Égypte et la Jordanie. Par ailleurs, la situation d'Oman et du Qatar constitue une incertitude évidente. La France pourrait être appelée à l'avenir à contribuer à la sécurité de la zone de la mer Rouge.

Schématiquement, deux plaques tectoniques se font face au Moyen-Orient : au Nord, sous domination russe et iranienne, on trouve l'Irak, le Liban et la Syrie ; au Sud, les États-Unis se sont alliés avec l'Égypte, Israël, la Jordanie, l'Arabie saoudite, les Émirats arabes unis. Les tensions sont évidemment fréquentes et utiles aux Américains et aux Russes pour justifier leur présence, mais l'objectif des États-Unis et de la Russie est d'éviter toute escalade inconsidérée. Le pays qui reconstruira l'Irak et la Syrie se trouvera en position de force. Il apparaît positif que les États-Unis et la Russie n'aient nul intérêt à ce que la situation dégénère. En outre, la Chine souhaite un climat suffisamment apaisée dans la région pour y investir massivement, notamment dans le cadre de ses ambitions pour les nouvelles routes de la soie.

La Turquie appartient à la plaque tectonique du Nord, alors qu'elle est en principe alliée avec les Américains. Au niveau régional, les deux acteurs majeurs sont l'Iran et l'Arabie saoudite. Le Moyen-Orient représente une zone de rivalité exacerbée entre les deux puissances régionales. La ligne rouge séparant le Nord du Sud ne recoupe cependant pas exactement les territoires d'influence de ces deux pays. Des frictions sont ainsi observables dans les zones de rivalité qui s'éloignent de cette frontière symbolique. Les États-Unis, la Russie et la Chine réussiront-ils à éviter l'escalade ? Je l'ignore.

C'est la difficulté. Nous nous trouvons, au Moyen-Orient, en présence d'une double guerre froide : classique entre deux grandes puissances qui ont une vision pragmatique et plus incertaine entre trois acteurs régionaux (Iran, Arabie saoudite et Israël) qui pourraient, dans certaines circonstances, être tentés par l'escalade.

Les États-Unis resteront militairement, diplomatiquement et économiquement présents dans la région, afin s'y préserver leurs intérêts : la liberté de navigation, la sécurité des citoyens américains, celle d'Israël et de l'Arabie saoudite, et le contrôle des flux d'énergie vers l'Asie, utile en cas de conflit, par exemple avec la Chine. Alors que le Président Obama, comme Bill Clinton avant lui, privilégiait le dialogue avec l'Iran, la Russie, la Turquie et Israël, le Président Trump, à l'instar des Bush, prône l'endiguement le long de l'axe courant entre Israël, la Jordanie, l'Arabie saoudite et les Émirats arabes unis et s'appuie sur les monarchies du Golfe. En application d'une stratégie de repli défensif, Donald Trump pourrait amener les États-Unis à regrouper leurs forces dans la zone autour de quelques bases stratégiques. Ce repli stratégique global laisse le champ à la Russie et à la chine, ce qui ne saurait qu'inquiéter la Turquie, l'Irak, l'Iran, le Pakistan, l'Inde, voire la Corée du Sud.

Paradoxalement, les Russes ont, eux aussi, une vision défensive. Il s'agit pour eux de contenir les djihadistes dans la région afin d'éviter qu'ils remontent vers le Caucase. Ils veulent promouvoir leurs intérêts énergétiques et isoler la Turquie pour la faire basculer de leur côté. Le Kremlin souhaite aussi démontrer aux autocrates du monde entier qu'il est un partenaire incontournable et fiable, qui ne laisse pas tomber ses alliées, à l'instar de Bachar el-Assad. Dans le domaine énergétique, cela lui permet de stopper les projets d'exportations de gaz et de pétrole iraniens, irakiens et syriens en direction de la Méditerranée. La Russie peut ainsi rester dans un tête-à-tête gazier avec les Européens et accroître la pression sur eux.

Au contraire, les Chinois ont plutôt intérêt, comme les Iraniens et les Irakiens, à ce que la situation s'apaise pour pouvoir exploiter et exporter le gaz et le pétrole dans toutes les directions. C'est un élément d'optimisme. Les Iraniens, les Irakiens, mais aussi les Syriens, les Israéliens et les Egyptiens, qui veulent exploiter leurs gisements de gaz off-shore, ont intérêt à ce que les tensions s'apaisent, quitte à en rester à une sorte de guerre froide avec dissuasion mutuelle. Aucun des acteurs n'a intérêt à voir éclater un affrontement majeur.

À mon avis, le pouvoir chinois est le seul qui ait une vision stratégique à long terme. Elle consiste à maintenir à distance le Japon et les États-Unis et à étouffer progressivement, économiquement et stratégiquement, l'Inde pour étendre son influence vers l'ouest, jusqu'aux côtes du Pacifique, en passant par le Moyen-Orient, l'Afrique, l'Océan indien et l'Amérique latine. Le projet « One belt, one road » est ni plus ni moins la répétition de la grande conquête de l'Ouest américain, étalée sur trente ou quarante ans. Le Moyen-Orient étant situé au milieu, les Chinois devraient essayer de faire en sorte que la région s'apaise.

Aucune solution à la crise du Moyen-Orient ne surviendra sans une quadruple entente, entre les États-Unis, la Russie et la Chine, d'une part ; entre la Russie, l'Iran et la Turquie - c'est le processus d'Astana - d'autre part ; entre Israël, la Russie et l'Iran ; et enfin entre l'Iran et l'Arabie saoudite, cette entente étant un enjeu majeur. En effet, si les deux premières conditions semblent remplies et la troisième peut-être envisageable, la dernière n'est en rien acquise.

Je vais maintenant laisser la parole aux membres de la commission, à commencer par nos collègues Gilbert Roger et Olivier Cigolotti, en charge du rapport d'information de la commission sur la Jordanie.

Lors de votre audition dans le cadre de la mission d'information sur la Jordanie la semaine dernière, vous avez indiqué que la fragilité de ce pays pourrait conduire certaines nations à penser que la solution au conflit israélo-palestinien pourrait être de créer un Etat palestinien en Jordanie. Qu'en est-il ?

Par ailleurs, comment interpréter la pression qu'exerce Amnesty International pour que soient bien distinguées les activités d'Israël dans les territoires occupés ? Airbnb vient ainsi de décider de ne plus proposer de locations dans les territoires occupés ou de signaler qu'elles étaient situées dans des colonies.

La Jordanie apparaît aujourd'hui comme un élément de stabilité au Moyen-Orient. On assiste toutefois à une montée en puissance des Frères musulmans. Cette stabilité est-elle durable ? Quels éléments pourraient la perturber ?

Par ailleurs, quelle peut être la stratégie de Mohammed Ben Salman dans ce contexte perturbé ?

Le roi Abdallah, que j'ai rencontré alors que j'accompagnais Jean-Yves Le Drian, a évoqué à la fois le rôle stabilisateur de son pays, mais aussi sa grande fragilité, la Jordanie n'ayant aucune ressource et accueillant des millions de réfugiés. Il nous a dit que si les Américains venaient à quitter la région, son pays demanderait de l'aide à Moscou, à défaut de pouvoir compter sur l'Europe pour la soutenir.

Vous êtes convaincu, malgré le retrait annoncé des États-Unis de la Syrie, de l'Afghanistan et de l'Irak, que les Américains resteront actifs d'une façon ou d'une autre au Moyen-Orient. Ne pourraient-ils pas faire appel à des pays sous-traitants, comme Israël ou l'Arabie saoudite ? Ce retrait marque-t-il la fin de l'intérêt des États-Unis pour le pétrole du Moyen-Orient, par exemple avec un intérêt pour les ressources du Venezuela ? Trump n'accélère-t-il pas la politique de désengagement des États-Unis pour se concentrer sur l'Asie, en particulier sur la Chine ?

Vous dites que les États-Unis s'entendront avec la Chine. Or ce serait sans doute la première fois dans l'histoire que l'on verrait un pays dominant accepter la montée en puissance d'un pays émergent. Personnellement, je pense plutôt qu'il y aura tôt ou tard un conflit entre la Chine et les États-Unis.

Quelle est la position de la France s'agissant de Djibouti ? La France n'a-t-elle pas un rôle à jouer dans cette zone de la Corne de l'Afrique ? Notre présence y diminue malheureusement d'année en année, alors que les Chinois s'y installent.

Le Moyen-Orient est confronté à de nombreux défis : croissance démographique, raréfaction des ressources, sécurité alimentaire, changements climatiques. Une nouvelle guerre de l'eau peut-elle avoir lieu ? Quels risques majeurs ces défis posent-ils, en particulier les migrations forcées liées aux changements climatiques ?

Du fait du réchauffement climatique, la Chine pourra emprunter la voie maritime nord pour atteindre les États-Unis ou le Canada. Qu'en pensez-vous ? L'Union européenne et la France n'auraient-elles pas intérêt à passer des contrats spécifiques avec la Russie sur les hydrocarbures, en raison des problématiques de passage ?

Dans un article de L'Opinion de juillet 2017, vous avez évoqué un dialogue entre l'Iran et Israël. Depuis la parution de cet article, le dialogue entre ces deux nations, conditionné à l'évolution de la question palestinienne, a-t-il repris de façon discrète pour faire face aux menaces communes ? Quelle pourrait être la position de la France à cet égard ?

Des tensions émergent aujourd'hui au sein des populations en Afrique du fait de la poussée prédatrice de la Chine. Pensez-vous que l'on pourrait assister à un « printemps africain » dans les mois prochains, lequel préfigurerait le conflit qui paraît inéluctable entre les États-Unis et la Chine ?

Vous avez évoqué les enjeux stratégiques liés au gaz et au pétrole, mais quelle est votre vision sur le rôle des djihadistes ?

Vous n'avez pas évoqué l'Europe à propos des solutions pour le Moyen-Orient. Pourriez-vous nous en dire plus sur ce sujet ? Par ailleurs, quelle est la stratégie des États pour prendre le contrôle des routes maritimes, notamment au nord ?

La Russie est une puissance militaire importante, mais une puissance économique relativement faible. Quel rôle pour l'Europe ? Faites-vous un constat d'échec de la diplomatie européenne ? Quant à la Turquie, ne serait-il pas intelligent d'imaginer une coopération renforcée de l'Union européenne avec ce pays, sachant qu'il peut peser demain ?

Quid du projet de Riyad de faire du Qatar une île en créant un bras de mer à la frontière afin de couper tout lien terrestre ?

Comment voyez-vous l'évolution à court et à moyen terme du conflit syrien, compte tenu des ambitions de la Turquie sur le nord syrien ?

Les Émirats arabes unis pourraient-ils servir de médiateur afin de trouver une solution au Yémen ?

Djibouti est vital. À titre personnel, je trouve très dommage l'érosion progressive de notre présence militaire à Djibouti, tant il est crucial de contrôler cette zone, pour toutes les raisons que j'ai indiquées. Ainsi, ceux qui sont militairement présents en masse sur place peuvent écouter ce qui se passe sur les câbles de communication, voire les couper en cas de confrontation plus ouverte. Djibouti permet de couvrir la Mer Rouge jusqu'à Suez, mais aussi une partie de la péninsule arabique et de déboucher sur l'océan indien.

Je ne peux pas répondre à votre question sur le printemps africain, car je ne suis pas un expert de l'Afrique.

Pour ma part, je ne crois vraiment pas à un retrait des États-Unis de la région. Certes, ils se sont en grande partie retirés d'Irak et ont annoncé leur retrait de Syrie, mais leur stratégie est de regrouper dans quelques bases cruciales de la région - à Oman, au Qatar, à Djibouti, au Koweït - les militaires qui étaient répartis sur de multiples théâtres opérationnels. Il s'agit pour eux de rester en capacité d'intervenir militairement de manière massive et décisive dans la région dans le cas où leurs intérêts vitaux seraient menacés. Quant à l'Afghanistan, c'est une zone et une thématique différentes.

Je ne crois pas non plus à la théorie du pivot vers l'Asie. Les responsables de l'administration parlent plutôt désormais de « rebalancing », de rééquilibrage. Il est crucial pour eux de rester présents au Moyen-Orient, non plus pour sécuriser leur approvisionnement énergétique, mais pour pouvoir jouer sur l'approvisionnement de leurs rivaux ou de leurs challengers de demain, les Chinois ou les Indiens.

Je n'ai pas parlé de l'Europe, car elle n'a pas pour l'instant de vision commune et consolidée sur le Moyen-Orient. Les pays latins ou de l'Europe du sud ont chacun leur propre stratégie. L'Allemagne a une stratégie commerciale. Pour les Britanniques, le Moyen-Orient est essentiellement un axe de passage vers l'océan indien, l'Australie et l'Asie du Sud-est. Le problème est que les Européens regardent tous dans des directions différentes. La logique voudrait qu'il y ait un certain partage des tâches et qu'un groupe d'États européens se sentant concernés par l'avenir de cette région unissent leurs forces et mettent en oeuvre une stratégie vis-à-vis de cette région.

En Turquie, la stratégie de M. Erdogan est de rester au pouvoir jusqu'en 2023, année du centième anniversaire de la République turque, afin de pouvoir se présenter comme l'homme le plus important de Turquie à égalité avec Mustafa Kemal Atatürk. Son problème est qu'il lui faut donner des gages aux Américains et aux Russes, en maintenant des relations correctes avec l'Iran.

Aujourd'hui, le pouvoir turc va devoir gérer le retrait des djihadistes d'Idlib et de la région frontalière nord. Je suis intimement persuadé qu'il y a eu une entente du régime syrien, des Russes et des Iraniens pour faire rentrer les Turcs chez eux. Cela ne se fera pas à brève échéance, sachant que des élections cruciales pour M. Erdogan auront lieu en 2019. On peut penser que M. Erdogan a négocié un délai de six mois. Il verra ensuite comment gérer le retrait d'Idlib et intégrer les milices actives à la frontière syrienne. Il fera face au même problème que le gouvernement israélien en 2000 quand il lui a fallu gérer le retrait de la milice du Liban-sud, composée de chrétiens et de chiites.

En Syrie, je pense qu'on va vers des zones d'influence - une zone russe, une zone iranienne, une zone kurde, une zone du régime - et une fiction d'unité territoriale.

Nous n'avons évidemment pas de preuve d'une reprise du dialogue entre l'Iran et Israël, mais nous pensons qu'elle a eu lieu. M. Netanyahou était présent à Oman à la fin de 2018. Or c'est à Oman que tout le monde discute avec les Iraniens. M. Netanyahou ne veut évidemment pas le reconnaître politiquement, d'autant moins qu'il connaît des difficultés judiciaires et qu'il vise une réélection. Les Irakiens jouent peut-être également un rôle d'intermédiaire. Des délégations irakiennes se sont rendues en Israël récemment. Or les Irakiens n'ont rien à refuser aux Iraniens. On peut également imaginer des canaux de discussion avec des pays européens ou la Suisse, mais aussi avec la Russie. Toutefois, les Israéliens et les Iraniens se méfient des Russes et ont intérêt à discuter directement.

En règle générale, les conflits sur l'eau se règlent par la voie de la négociation. Le risque du manque d'eau est d'assister à une prolifération des programmes nucléaires civils, nécessaires au fonctionnement des usines de désalinisation d'eau de mer. C'est une raison de plus pour que les Américains et les Russes restent présents, afin de se prémunir contre toute dérive ou prolifération militaire incontrôlée.

La voie maritime du nord n'est pas pour demain. La navigation circumpolaire pose de nombreux problèmes, y compris techniques. Les GPS ne fonctionnement pas bien aux pôles. En outre, en cas de problème technique, mécanique ou de santé sur la route de l'Arctique, vous êtes loin de tout hôpital ou centre de réparation.

Je ne sais pas si les Émirats arabes unis peuvent jouer un rôle de médiateur. Ce rôle est aujourd'hui joué par Oman. Or le Sultan est malade, malheureusement. Qui pourra ensuite jouer ce rôle de médiateur ? Connaissant les tensions historiques entre les Émirats arabes unis et le Sultanat d'Oman et entre les Émirats et les Frères musulmans, on peut s'interroger. Les relations resteront bonnes entre les Émirats et l'Arabie saoudite, car ils ont des points communs.

Je verrais mieux le Qatar jouer ce rôle, dans l'intérêt d'ailleurs des Européens et des Américains. Le Qatar se détache en effet du Conseil de coopération du Golfe en raison de ses tensions avec l'Arabie saoudite et les Émirats arabes unis. Il se rapproche à la fois de l'Iran et de la Turquie. En outre, l'émir peut acheter la paix sociale, car le Qatar a une faible population locale.

Oui, il y a effectivement un projet de séparation physique entre le Qatar et l'Arabie saoudite. Cela étant dit, selon les experts, un canal de quelques centaines de mètres de large ne pourra pas garantir l'insularisation du Qatar. Une population saoudienne en forte croissance, confrontée à des difficultés économiques, pourrait être tentée de l'étendre au Qatar.

Force est de constater que le dossier palestinien est gelé. Personne n'a ni intérêt ni la volonté de le porter sur le devant de la scène. La Jordanie se dit qu'il vaut mieux ne pas réveiller la bête qui dort. Je crains que ce dossier, comme le dossier kurde, ne fasse les frais du nouveau redécoupage politique.

J'évoquerai pour finir la Jordanie. Ce pays est un pôle de stabilité, car il est soutenu par tout le monde. Toutefois, si les Nations unies en venaient à lui supprimer leur assistance financière, liée notamment à la présence des réfugiés, si le conflit syrien était réglé, cela aurait un impact majeur sur la stabilité économique du pays. La Jordanie est un pays pauvre, ses ressources sont extrêmement limitées. Des groupes djihadistes pourraient être tentés à un moment ou à un autre de viser les touristes, pour déstabiliser le pays. La Jordanie a confiance dans ses partenaires, mais les indicateurs sont inquiétants à long terme, notamment en termes socio-économiques.

La Russie essaie de combler le vide laissé par les Américains, comme la Chine, y compris en Arabie saoudite, en Mer Rouge, au Soudan. On peut imaginer une stratégie russe visant à opérer une percée en Syrie, en Jordanie, en Mer Rouge et au Soudan, afin de pouvoir agir sur cet axe de communication vital pour les Européens et les Américains.

Merci pour cette communication passionnante. Comme nombre d'entre nous, je partage vos regrets sur la place de l'Europe et de la France. Faute d'avoir fait les bonnes analyses, nous avons perdu pied dans cette région où s'exprime pourtant toujours un désir de France. Nous craignons également tous de voir les moyens de la base de Djibouti se réduire alors même que les Chinois s'y installent de manière spectaculaire.

Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.

Il restait un membre du groupe Les Républicains à désigner pour la mission relative à « La Jordanie, clé de voûte de la stabilité d'un Moyen-Orient en crise », c'est désormais chose faite avec la désignation de M. Gilbert Bouchet. Cette mission est ainsi totalement constituée !

Le ministère des affaires étrangères a mis en place, depuis 2010, une plateforme de service Ariane permettant aux ressortissants français préalablement inscrits en ligne de recevoir des consignes de sécurité lors de leurs voyages à l'étranger. Chacun peut ainsi créer un compte utilisateur sur le site diplomatie.gouv.fr et s'enregistrer avant chaque voyage en précisant ses lieux de passage, son numéro de téléphone portable et son adresse électronique, ainsi que les coordonnées des personnes à prévenir en cas d'urgence. Si la situation du pays le justifie, l'usager reçoit lors de son voyage des recommandations de sécurité du Centre de crise et de soutien du ministère, par SMS ou par courriel, et peut être contacté en cas de crise. Ce service est très utile et très utilisé.

Le Centre de crise et de soutien du ministère est le service responsable du traitement. Ce centre et les postes diplomatiques et consulaires français sont destinataires des données. La plateforme est maintenue par la direction des systèmes d'information.

Le 5 décembre 2018, la plateforme Ariane a été victime d'une cyberattaque, détectée par le dispositif de protection mis en place par l'Agence nationale de la sécurité des systèmes d'information (Anssi), en périphérie des systèmes d'information du ministère. Une partie des données stockées dans cette base de données a été piratée.

Des données personnelles ont été dérobées : il s'agit de données extraites de la table des personnes à contacter en cas d'urgence : noms, prénoms, adresses électroniques, ainsi qu'une partie des identifiants téléphoniques pour lesquels il avait sagement été prévu un stockage fractionné dans deux tables différentes afin d'empêcher toute exploitation frauduleuse. Au total, 540 563 personnes sont concernées par ce vol de données. Ni les autres données des titulaires de comptes, ni leur mot de passe, ni les dates et destinations de leurs voyages n'ont été compromises. Les données dérobées ne permettent pas d'établir de lien entre les contacts et les titulaires de compte. En outre, il a été constaté lors de l'opération d'information des personnes concernées par courriel que plus de 200 000 adresses n'étaient plus actives.

Le service n'a pas été interrompu et la sécurisation des données a été restaurée, des mesures correctives ont été prises pour empêcher la reproduction d'une attaque selon les mêmes procédures.

L'incident a été connu du grand public le 13 décembre, date à laquelle le ministère a adressé un courriel aux personnes concernées et a publié un communiqué de presse annonçant que la Commission nationale de l'informatique et des libertés (CNIL) et la justice avaient été saisies des faits constatés.

Sitôt l'incident connu, nous avons demandé à organiser des auditions pour recueillir des éléments d'information sur cette attaque et, plus largement, sur la sécurité des systèmes d'information du ministère des affaires étrangères, sur lequel notre commission est fondée à exercer un contrôle, sachant en outre que cela faisait deux ans qu'elle signalait dans son avis budgétaire sur l'Anssi les résultats insuffisants de la politique de protection et de sécurité des systèmes d'information de l'État (PSSIE). La commission a validé cette démarche lors de sa réunion du 16 janvier.

Nous nous sommes naturellement concentrés dans un premier temps sur cette cyberattaque dans l'intention non pas de chercher des responsables, mais de susciter un retour d'expérience dont le ministère et, au-delà, les services de l'État pourraient tirer des enseignements à l'occasion d'autres incidents, sachant qu'il y en aura d'autres, compte tenu des vulnérabilités de nos systèmes, d'une part, de la fréquence, de l'ampleur et de la sophistication des attaques, d'autre part.

Nous avons donc entendu, dès le 19 décembre, le directeur général de l'Anssi, le directeur des systèmes d'information et le directeur de la sécurité diplomatique du ministère des affaires étrangères, puis la direction générale de la sécurité intérieure (DGSI), qui est l'un des services disposant des capacités d'investigation pour rechercher l'origine d'une cyberattaque, la CNIL et enfin la section spécialisée du parquet de Paris. Nous entendrons dans les prochains jours, lorsqu'elle aura rendu son rapport, la mission interministérielle d'inspection chargée par le Premier ministre de cartographier les moyens budgétaires et en effectifs des ministères dédiés à l'action numérique, dont la sécurité. Enfin, nous attendons de l'Anssi et du ministère des affaires étrangères les réponses à des questions complémentaires que nous leur avons adressées.

Ces éléments nous permettront de compléter notre analyse et de préciser ou de nuancer nos observations sur la capacité du ministère à éviter cette attaque, sur la déclaration du vol de données personnelles à la CNIL et ses conséquences, sur la communication sur l'attaque et ses conséquences, sur l'attribution de l'attaque et ses suites judiciaires, et sur le pilotage de la gestion de crise en cas de cyberattaque.

J'évoquerai tout d'abord la capacité du ministère à éviter cette attaque. Les attaquants ont profité d'une faille dans une brique logicielle utilisée pour construire cette plateforme. L'éditeur du logiciel avait identifié cette faille et livré à la DSI le correctif nécessaire, mais la mise à jour n'avait pas encore été installée. Elle nécessite en effet une programmation de moyens, notamment en effectifs, et n'avait pas été considérée comme une absolue priorité.

De cette situation, nous tirons deux enseignements. Premièrement : quelques attaquants connaissent les failles, l'édition d'un correctif révèle plus largement l'existence de failles et suscite des appétits, plus on tarde à installer une mise à jour, plus un système d'information est vulnérable. Deuxièmement, comme d'autres ministères, le ministère des affaires étrangères dispose d'un budget dédié aux systèmes d'information et d'effectifs en stagnation alors qu'il s'est lancé dans une politique de numérisation et de mise à disposition de services en ligne, ce qui créé une interface de vulnérabilité. Il consacre des moyens globalement insuffisants à la cybersécurité et concentre ceux-ci - on ne peut le lui reprocher - sur les systèmes d'information et de communication les plus stratégiques, comme la sécurité des postes et des réseaux diplomatiques.

La circulaire interministérielle de 2014 sur la politique de sécurité des systèmes d'information de l'État est appliquée de façon hétérogène, ce qui montre le caractère très limité des interventions réglementaires. Sans affectation de moyens, elle demeure un instrument de communication. De surcroît les fonctions-clés de la chaîne de sécurité - haut fonctionnaire de défense et de sécurité (HFDS) et fonctionnaire de sécurité des systèmes d'information (FSSI) - ont été exercées de façon intermittente ces derniers mois. Tout cela pose concrètement la question d'un pilotage interministériel par affectation de moyens, notamment par le respect d'un ratio obligatoire consacré à la cybersécurité. L'Anssi n'a pas aujourd'hui de telles capacités.

Pour ma part, j'évoquerai la déclaration du vol de données personnelles à la CNIL et ses conséquences.

L'application Ariane a fait l'objet d'une déclaration à la CNIL. La notice de l'application indique que « le service Ariane, conçu en concertation avec la CNIL, offre toutes les garanties de sécurité et de confidentialité des données personnelles » et que « les données sont effacées un mois après la date retour ». Il s'agit des données relatives aux déplacements, non des données de base du dossier, dont les données relatives aux contacts. Plus de 500 000 noms étaient stockés dans cette table depuis l'origine, semble-t-il. Cela pose au demeurant une question, qui aura quelques conséquences lors de la communication sur la cyberattaque, celle du statut des données personnelles des contacts enregistrées par leurs proches, avec ou sans leur consentement, présumé tacite.

En outre, depuis l'entrée en application du Règlement général sur la protection des données (RGPD), la compromission de données personnelles doit faire l'objet d'une déclaration à la CNIL dans les soixante-douze heures de sa détection. Cette déclaration a été faite via un formulaire en ligne dès le 7 décembre. Le ministère s'est ensuite demandé si cette attaque présentait des risques justifiant, outre son signalement, une communication aux personnes concernées et au public. À l'issue du dialogue entre les deux parties, la DSI et la CNIL, la décision a été prise de communiquer en raison du risque d'utilisation des données pour des opérations d'hameçonnage ou d'escroquerie.

Pour autant que nous le sachions, ce dialogue est resté limité à la DSI et à la CNIL, sans appréciation externe. Nul ne s'est demandé si l'attaque visait simplement à porter atteinte à la réputation du ministère en affichant la vulnérabilité de ses applications ou n'a pris en compte le fait que les personnes concernées pouvaient découvrir leur présence dans cette base à cette occasion. Cela aurait permis, le cas échéant, d'orienter différemment la communication. La DSI expérimentait ces nouvelles obligations avec une certaine appréhension, leur non-respect pouvant entraîner des sanctions pénales. Le secrétariat général de la CNIL s'en est tenu à une vision juridique et factuelle, sur la base des seuls éléments transmis par la DSI.

J'évoquerai maintenant la communication sur l'attaque et ses conséquences.

Le 13 décembre, un courriel a été adressé aux personnes concernées, dont nous n'avons pas pu prendre connaissance à ce stade. Nous savons par l'Anssi et par la CNIL, qui ont reçu, dans la foulée, des dizaines de demandes d'information, que ce courriel a eu pour effet d'inquiéter nombre de destinataires. Soit ces deniers n'étaient pas informés de leur présence dans ce fichier, soit ils n'avaient aucune idée des données qu'il contenait. Ces personnes pensaient avoir reçu un message falsifié du ministère et être victimes d'une opération d'hameçonnage ou craignaient que leurs données bancaires ou d'autres données personnelles aient pu avoir été altérées. À mes yeux, cela constitue un début de trouble à l'ordre public. À échelle réduite, les personnes contactées ont pu être rassurées, mais personne, dans les organisations concernées, n'avait envisagé un retour de cette nature et n'y était préparé, en particulier l'Anssi, qui n'a été informée de la communication que lorsqu'elle a été confrontée à ces appels.

Le communiqué de presse a été repris par les médias, parfois de façon alarmiste, et complété sur le site du ministère par une foire aux questions. On notera que deux communiqués successifs ont été publiés, le premier mentionnant l'Anssi sans son consentement et sans qu'elle ait été associée à la mise en place des correctifs et à la préparation de cette communication, le second ne la mentionnant plus.

Ce communiqué a été mis au point par le service de la communication du ministère à partir d'éléments techniques fournis la DSI. À notre connaissance, le Centre de crise et de soutien, responsable du traitement, n'y a pas été associé. Compte tenu de l'effet de cette communication, il y a lieu de s'interroger sur un élargissement du nombre de parties impliquées dans la décision de communiquer et dans l'élaboration du contenu la communication. Enfin, nous nous interrogeons également sur l'intérêt de relativiser les faits en indiquant que la cyberattaque n'a rien d'un événement exceptionnel, que « le ministère fait l'objet d'attaques de toutes natures et de toutes origines et s'est organisé en conséquence avec l'aide de ses partenaires interministériels, notamment l'Anssi», et ce au moment où il affiche la vulnérabilité de l'une de ses plateformes.

J'évoquerai ensuite l'attribution de l'attaque et ses suites judiciaires.

Le communiqué du 13 décembre indique que le ministère a déposé une plainte auprès du Procureur. Cela est tout à fait souhaitable. Même si l'attaque ne se traduit pas par un dommage matériel pour le ministère, elle a porté atteinte à sa réputation. Il faut d'ailleurs féliciter le ministère de cette décision, qui reste exceptionnelle au sein des administrations, lesquelles sont régulièrement victimes de cyberattaques. La puissance publique incite pourtant les entreprises à porter plainte. En outre, il s'agit d'infractions, de délits, voire de crimes, dont la commission doit être portée à la connaissance de la justice, conformément à l'article 40 du code de procédure pénale, sous peine de sanctions pénales.

Nous avons donc souhaité, dans le strict respect de l'indépendance et des compétences de l'autorité judiciaire, comprendre comment fonctionnait ce que la Revue stratégique de cyberdéfense de février 2018 appelle la chaîne « investigation judiciaire » et comment s'articulait la mise en oeuvre de cette chaîne lorsque des attaques portent contre des administrations de l'État. Nous avons reçu la section spécialisée du parquet de Paris créée en 2014 et dotée d'une compétence concurrente nationale depuis 2016, laquelle reçoit entre 2 000 et 2 500 plaintes par an. Elle est en mesure de déclencher des procédures d'entraide internationale et jouit d'une solide réputation puisqu'elle coordonne à l'échelon européen l'enquête sur la cyberattaque Notpetya et un service de police, en l'occurrence la DGSI, qui peut être actionné pour constater les faits, rechercher des preuves et les auteurs.

De ces entretiens, il ressort une absence de concertation et de procédure formalisée. Le Parquet a été informé le 14 décembre par la presse, à la suite de la publication du communiqué du 13, lequel indiquait la saisine du Procureur. En réalité, la plainte ne sera déposée au Parquet que le 7 janvier, soit un mois après la détection de l'attaque. La DGSI sera officiellement saisie le 10. Cela montre que personne ne savait quelle conduite tenir et n'était préparé à ce qui devrait être un réflexe ordinaire. Même si les données relatives à l'attaque ont pu être conservées sans être altérées, on imagine qu'une intervention dans les premières heures peut avoir un intérêt : pour recueillir des preuves ou des traces susceptibles d'être effacées progressivement, comme nous l'ont confirmé les magistrats du Parquet, ou pour vérifier si les données font l'objet d'un commerce sur le Darknet.

Sans doute la mise en place du RGPD permettra-t-elle d'avancer grâce à l'obligation de déclaration et de publicité, mais un travail d'information et de coordination semble nécessaire auprès des décideurs des administrations de l'État.

J'en viens au pilotage de la gestion de crise en cas de cyberattaque. Nous voyons bien, à l'examen de ce dossier, que les administrations, à l'exception de l'Anssi, ne sont guère préparées, qu'elles hésitent à chaque étape sur la conduite à tenir parce qu'elles n'ont pas expérimenté les difficultés, parce que les précédents sont peu nombreux et parce qu'elles n'ont pas anticipé de scénarios de crise.

Une réflexion au sein des ministères et à l'échelon interministériel, impliquant l'Anssi, doit être engagée sur la gestion de crise : qui sont les acteurs internes et externes concernés ? Quels sont les niveaux de décisions adéquats ? Qui pilote ? Selon quelles procédures ? Comment communiquer et à quel moment pour ne pas ajouter une crise à la crise ? Beaucoup de choses restent à construire et à éprouver sous forme d'exercices. Il existe des plans à l'échelle interministérielle en cas d'attaques du haut du spectre pilotés par le Secrétariat général de la défense et de la sécurité nationale (SGDSN), mais les ministères restent démunis face à des attaques de moyenne ampleur.

Telles sont nos premières conclusions, à la fois alarmistes et réalistes. Elles doivent contribuer à la prise de conscience des risques et de leur caractère multiforme. En déroulant modestement le fil d'Ariane, nous mettons en évidence le sous-investissement de nos administrions publiques en matière de cybersécurité et nous lançons, comme Guillaume Poupard récemment, un cri d'alarme sur les conséquences que pourraient avoir des attaques massives contre nos administrations. Un redressement est nécessaire. Ce dossier doit être porté au plus haut niveau de l'État. Le Premier ministre a lancé plusieurs missions à cet égard, que nous allons suivre avec attention.

En attendant, nous souhaitons poursuivre cette mission, en y associant naturellement les rapporteurs du programme 105, afin de compléter la documentation du dossier Ariane et de vérifier les efforts entrepris pour la sécurité de l'ensemble des systèmes d'information du ministère des affaires étrangères. Nous solliciterons des entretiens aux niveaux appropriés du ministère des affaires étrangères et du SGDSN pour partager ce retour d'expérience, inciter les services de l'État à progresser et à mieux se prémunir contre les attaques et leurs conséquences.

Pour information, je viens de vous envoyer le communiqué du ministère des affaires étrangères que vous n'aviez pas reçu.

Pensez-vous qu'une plateforme de coopération européenne soit aujourd'hui essentielle pour lutter contre les cyberattaques ? Estimez-vous pertinent l'appel du Parlement européen à renforcer la coopération entre l'Union européenne et l'OTAN afin de prévenir, de détecter et de dissuader les cyberattaques ?

Votre travail est de très bonne facture. Il rencontrera forcément un certain écho auprès des administrations et des politiques. Il faut toutefois qu'il soit bien clair pour l'extérieur que tant le Secrétariat général que l'ANSSI, s'ils ont des marges de progression, font leur travail, n'hésitant pas à signaler leurs problèmes et leurs besoins complémentaires. Le problème, c'est le niveau administrativo-politique, les administrations ayant une vieille culture et préférant vivre cachées. Or il faut qu'elles apprennent à se protéger, car c'est une preuve de force. Quant au niveau politique, il doit donner les impulsions nécessaires.

A-t-on des éléments sur les origines de l'attaque ? Est-elle le fait de hackers isolés ou d'une puissance étrangère ? Peut-on tirer des conclusions de la nature de cette attaque et du mode opératoire choisi ? Des enseignements ont-ils été tirés pour éviter que d'autres ministères ne soient à leur tour attaqués ?

Est-il possible de voir comment certains États se sont organisés contre les cyberattaques ? Taïwan, qui est particulièrement agressé par la Chine, a mis en place une organisation remarquable et une agence fédérale dotée de moyens. La France ne manque-t-elle pas d'une telle organisation ? Ne devons-nous pas remettre à plat notre organisation ?

Le Bleu budgétaire ne nous permet pas de lire facilement les efforts dédiés à la cybersécurité. Les crédits budgétaires sont en nette diminution en 2019, cette baisse étant compensée dans le cadre d'un compte d'affectation spéciale (CAS). Or, on le sait, les recettes d'un CAS varient d'une année sur l'autre. Il faudra à l'avenir veiller au niveau de ces crédits.

L'Europe consacre des moyens insuffisants à la cybersécurité. Il est sûr qu'une coordination européenne est nécessaire, mais la démarche reste encore timide pour l'instant.

Comme Jean-Marie Bockel, je pense que les administrations ne sont pas suffisamment sensibilisées aux cyberattaques. Or on estime à 80 millions le nombre de tentatives de fraude en Europe en 2017. Il faut en particulier veiller aux opérateurs d'importance vitale - les services d'approvisionnement en eau et en énergie, les transports.

D'après les spécialistes, la France n'est pas mal placée en matière de cybersécurité, mais elle souffre d'un manque considérable de coordination et de process permettant à chacun de savoir ce qu'il doit faire lorsqu'il découvre une cyberattaque. Les choses se font au doigt mouillé, comme on l'a vu dans le cas d'Ariane.

Il est nécessaire de renforcer la coopération entre l'Union européenne et l'OTAN, face à une volonté d'attaquer les démocraties, leur réputation et de faire en sorte que le peuple perde confiance dans ses élites. On parle de « hack and leak » : on attaque et on fait savoir que des données ont été volées. La question se pose donc, en cas d'attaque, de savoir s'il faut communiquer ou non. Si on communique, l'objectif des hackers est peut-être atteint.

Toutes les personnes que nous avons auditionnées ont mesuré à quel point notre retour d'informations était précieux pour elles et ont pris conscience de la nécessité de travailler ensemble.

Si nous disions quelque chose de l'attaque, de son origine, de sa nature, on communiquerait sur le sujet. Or qui doit décider de communiquer ou non ? Le politique ? Le Parlement, comme le procureur, a appris l'attaque par le communiqué de presse. Est-ce normal, sachant que, pour le peuple, les responsables, au final, ce sont les élus ? Des procédures doivent être mises en place pour permettre aux uns et aux autres de travailler ensemble. C'est l'enseignement qui a été tiré de ce qu'il s'est passé.

En matière de cybersécurité, chacun ne va pas réinventer la roue de son côté. L'organisation de Taïwan a été évoquée. Pour ma part, je citerai l'exemple d'Israël, qui a mis en place un numéro de téléphone permettant aux administrations, aux entreprises et aux particuliers de signaler une cyberattaque. Les États les plus attaqués - Taïwan, Israël et l'Estonie - sont les plus moteurs dans ce domaine.

Enfin, le budget est une problématique importante. Ce que nous aimerions, c'est que lorsqu'on investit 100 dans un logiciel, 5 soient consacrés à la cybersécurité. Le problème d'Ariane, c'est que les services n'ont pas eu le temps d'installer le correctif. On en mesure aujourd'hui les conséquences.

Notre but est non pas de pointer du doigt quelqu'un, mais de trouver ensemble des solutions et des process afin d'être plus efficaces.